PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC27005:2011) - AGOSTO:2011

Prévia do material em texto

ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 1/97 
 
Tecnologia da informação — Técnicas de segurança — Gestão de riscos de 
segurança da informação 
 
APRESENTAÇÃO 
1) Este Projeto de Revisão foi elaborado pela Comissão de Estudo de Técnicas de Segurança 
(CE-21:027.00) do Comitê Brasileiro de Computadores de Dados (ABNT/CB-21), nas reuniões 
de: 
 
 
 
2) Este 1º Projeto de Revisão é previsto para cancelar e substituir a edição anterior 
ABNT NBR ISO/IEC 27005:2008, quando aprovado, sendo que nesse ínterim a referida norma 
continua em vigor; 
3) Previsto para ser identica a ISO/IEC 27005:2011; 
4) Não tem valor normativo; 
5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta 
informação em seus comentários, com documentação comprobatória; 
6) Este Projeto de Norma será diagramado conforme as regras de editoração da ABNT quando 
de sua publicação como Norma Brasileira. 
7) Tomaram parte na elaboração deste Projeto: 
Participante Representante 
BANCO DO NORDESTE Francisco Nunes 
CQSI Ariosto Farias Junior 
MÓDULO Alberto Bastos 
MÓDULO Marcelo Gherman 
TIVIT Lilian Pricola 
UNB 
 
Edgard Costa 
 
 
23.02.2011 12.07.2011 __________ 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 2/97 
 
Sumário Página 
Prefácio Nacional 4 
Introdução 5 
1 Escopo 5 
2 Referências normativas 5 
3 Termos e definições 5 
4 Organização da Norma 10 
5 Contextualização 11 
6 Visão geral do processo de gestão de riscos de segurança da informação 12 
7 Definição do contexto 16 
7.1 Considerações Gerais 16 
7.2 Critérios básicos 17 
7.2.1 Abordagem da gestão de riscos 17 
7.2.2 Critérios para a avaliação de riscos 17 
7.2.3 Critérios de impacto 18 
7.2.4 Critérios para a aceitação do risco 18 
7.3 Escopo e limites 19 
7.4 Organização para gestão de riscos de segurança da informação 20 
8 Processo de avaliação de riscos de segurança da informação 21 
8.1 Descrição geral do processo de avaliação de riscos de segurança da informação 21 
8.2 Identificação de riscos 22 
8.2.1 Introdução à identificação de riscos 22 
8.2.2 Identificação dos ativos 22 
8.2.3 Identificação das ameaças 23 
8.2.4 Identificação dos controles existentes 23 
8.2.5 Identificação das vulnerabilidades 24 
8.2.6 Identificação das consequências 25 
8.3 Análise de riscos 26 
8.3.1 Metodologias de análise de riscos 25 
8.3.2 Avaliação das consequências 27 
8.3.3 Avaliação da probabilidade dos incidentes 29 
8.3.4 Determinação do nível de risco 30 
8.4 Avaliação de riscos 30 
9 Tratamento do risco de segurança da informação 31 
9.1 Descrição geral do processo de tratamento do risco 31 
9.2 Modificação do risco 34 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 3/97 
 
9.3 Retenção do risco 35 
9.4 Ação de evitar o risco 35 
9.5 Compartilhamento do risco 35 
10 Aceitação do risco de segurança da informação 36 
11 Comunicação e consulta do risco de segurança da informação 37 
12 Monitoramento e análise crítica de riscos de segurança da informação 38 
12.1 Monitoramento e análise crítica dos fatores de risco 38 
12.2 Monitoramento, análise crítica e melhoria do processo de gestão de riscos 39 
Anexo A (informativo) Definindo o escopo e os limites do processo de gestão de riscos de segurança da 
informação 41 
A.1 A análise da organização 41 
A.2 Restrições que afetam a organização 42 
A.3 Referências legais e regulamentares aplicáveis à organização 45 
A.4 Restrições que afetam o escopo 45 
Anexo B (informativo) Identificação e valoração dos ativos e avaliação do impacto 47 
B.1 Exemplos de identificação de ativos 47 
B.1.1 Identificação dos ativos primários 47 
B.1.2 Lista e descrição de ativos de suporte 48 
B.2 Valoração dos Ativos 54 
B.3 Avaliação do Impacto 58 
Anexo C (informativo) Exemplos de ameaças comuns 60 
Anexo D (informativo) Vulnerabilidades e métodos de avaliação de vulnerabilidades 63 
D.1 Exemplos de vulnerabilidades 63 
D.2 Métodos para a avaliação de vulnerabilidades técnicas 67 
Anexo E (informativo) Abordagens para o processo de avaliação de riscos de segurança da informação 69 
E.1 Processo de avaliação de riscos de segurança da informação - Enfoque de alto nível 69 
E.2 Processo detalhado de avaliação de riscos de segurança da informação 71 
E.2.1 Exemplo 1 Matriz com valores pré-definidos 72 
E.2.2 Exemplo 2 Ordenação de Ameaças em função do Risco 75 
E.2.3 Exemplo 3 Avaliando a probabilidade e as possíveis consequências dos riscos 76 
Anexo F (informativo) Restrições para a modificação do risco 78 
Anexo G (informativo) Diferenças nas definições entre a ABNT NBR ISO/IEC 27005:2008 e a ABNT NBR 
ISO/IEC 27005:2011 80 
Bibliografia 94 
 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 4/97 
 
Tecnologia da informação — Técnicas de segurança — Gestão de riscos de 
segurança da informação 
Information technology — Security techniques — Information security risk management 
Prefácio Nacional 
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas 
Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos 
de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são 
elaboradas por Comissões de Estudo (CE), formadas por representantes dos setores envolvidos, delas 
fazendo parte: produtores, consumidores e neutros (universidades, laboratórios e outros). 
Os documentos Técnicos ABNT são elaborados conforme as regras da Diretiva ABNT, Parte 2. 
A Associação Brasileira de Normas Técnicas (ABNT) chama atenção para a possibilidade de que alguns dos 
elementos deste documento podem ser objeto de direito de patente. A ABNT não deve ser considerada 
responsável pela identificação de quaisquer direitos de patentes. 
A ABNT NBR ISO/IEC 27005 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados 
(ABNT/CB-21), pela Comissão de Estudo de Segurança da Informação (CE-21:027.00). 
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO/IEC 27005: 2011, que foi 
elaborada pelo Comitê Técnico Information technology (ISO/IEC JTC 1), conforme ISO/IEC Guide 21-1:2005. 
Esta segunda edição cancela e substitui a primeira edição da ABNT NBR ISO/IEC 27005:2008 que foi revisada 
tecnicamente. 
O Escopo desta Norma Brasileira em inglês é o seguinte: 
Scope 
This Standard provides guidelines for information security risk management. 
 
This Standard supports the general concepts specified in ABNT NBR ISO/IEC 27001 and is designed to assist the 
satisfactory implementation of information security based on a risk management approach. 
 
Knowledge of the concepts, models, processes and terminologies described in ABNT NBR ISO/IEC 27001 and 
ABNT NBR ISO/IEC 27002 is important for a complete understanding of this International Standard. 
 
This International Standard is applicable to all types of organizations (e.g. commercial enterprises, government 
agencies, non-profit organizations) which intend to manage risks that could compromise the organization’s 
information security. 
 
 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 5/97 
 
Introdução 
Esta Norma fornecediretrizes para o processo de Gestão de Riscos de Segurança da Informação de 
uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da 
Informação (SGSI) de acordo com a ABNT NBR ISO/IEC 27001. Entretanto, esta Norma Internacional 
não inclui um método específico para a gestão de riscos de segurança da informação. Cabe à 
organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o 
escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias 
metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional 
para implementar os requisitos de um SGSI. 
Esta Norma é do interesse de gestores e pessoal envolvidos com a gestão de riscos de segurança da 
informação em uma organização e, quando apropriado, em entidades externas que dão suporte a essas 
atividades. 
1 Escopo 
Esta Norma fornece diretrizes para o processo de gestão de riscos de segurança da informação. 
Esta Norma está de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27001 e foi 
elaborada para facilitar uma implementação satisfatória da segurança da informação tendo como base 
uma abordagem de gestão de riscos. 
O conhecimento dos conceitos, modelos, processos e terminologias descritos na 
ABNT NBR ISO/IEC 27001 e na ABNT NBR ISO/IEC 27002 é importante para um entendimento 
completo desta Norma Internacional. 
Esta Norma se aplica a todos os tipos de organização (por exemplo: empreendimentos comerciais, 
agências governamentais, organizações sem fins lucrativos), que pretendam gerir os riscos que 
poderiam comprometer a segurança da informação da organização. 
2 Referências normativas 
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para 
referências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se 
as edições mais recentes do referido documento (incluindo emendas). 
ISO/IEC 27000, Information Technology – Security techniques – Information security management 
systems – Overview and vocabulary 
ABNT NBR ISO/IEC 27001: 2006, Tecnologia da Informação – Técnicas de segurança – Sistemas de 
gestão de segurança da informação – Requisitos. 
3 Termos e definições 
Para os efeitos deste documento, aplicam-se termos e definições da ISO/IEC 27000 e os seguintes. 
NOTA As diferenças entre as definições da ABNT NBR ISO/IEC 27005:2008 e esta norma são mostrados no 
Anexo G. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 6/97 
 
3.1 
consequência 
resultado de um evento (3.3) que afeta os objetivos 
[ABNT ISO GUIA 73:2009] 
NOTA 1 Um evento pode levar a uma série de consequências. 
NOTA 2 Uma consequência pode ser certa ou incerta e, no contexto da segurança da informação, é, 
normalmente, negativa. 
NOTA 3 As consequências podem ser expressas qualitativa ou quantitativamente. 
NOTA 4 As consequências iniciais podem desencadear reações em cadeia. 
3.2 
controle 
medida que está modificando o risco (3.9) 
[ABNT ISO GUIA 73:2009] 
NOTA 1 Os controles da segurança da informação incluem qualquer processo, política, procedimento, diretriz, 
prática ou estrutura organizaconal, que pode ser de natureza administrativa, técnica, gerencial ou legal que 
modificam o risco da segurança da informação. 
NOTA 2 Os controles nem sempre conseguem exercer o efeito de modificação pretendido ou presumido. 
NOTA 3 Controle também é usado como um sinônimo de salvaguarda ou contramedida. 
3.3 
evento 
ocorrência ou mudança em um conjunto específico de circunstâncias 
[ABNT ISO GUIA 73:2009] 
NOTA 1 Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas. 
NOTA 2 Um evento pode consistir em alguma coisa não acontecer. 
NOTA 3 Um evento pode algumas vezes ser referido como um "incidente" ou um "acidente". 
3.4 
contexto externo 
ambiente externo no qual a organização busca atingir seus objetivos 
[ABNT ISO GUIA 73:2009] 
NOTA O contexto externo pode incluir: 
o ambiente cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, 
seja internacional, nacional, regional ou local; 
os fatores–chave e as tendências que tenham impacto sobre os objetivos da organização; e 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 7/97 
 
as relações com partes interessadas externas e suas percepções e valores. 
3.5 
contexto interno 
ambiente interno no qual a organização busca atingir seus objetivos 
[ABNT ISO GUIA 73:2009] 
NOTA O contexto interno pode incluir: 
— governança, estrutura organizacional, funções e responsabilidades; 
— políticas, objetivos e estratégias implementadas para atingi–los; 
— capacidades compreendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, 
processos, sistemas e tecnologias); 
— sistemas de informação, fluxos de informação e processos de tomada de decisão (tanto formais como 
informais); 
— relações com partes interessadas internas, e suas percepções e valores; 
— cultura da organização; 
— normas, diretrizes e modelos adotados pela organização; e 
— forma e extensão das relações contratuais. 
3.6 
nível de risco 
magnitude de um risco (3.9), expressa em termos da combinação das consequências (3.1) e de suas 
probabilidades (likelihood) (3.7) 
 
[ABNT ISO GUIA 73:2009] 
3.7 
probabilidade (likelihood) 
chance de algo acontecer 
[ABNT ISO GUIA 73:2009] 
NOTA 1 Na terminologia de gestão de riscos, a palavra ”probabilidade" é utilizada para referir-se à chance de 
algo acontecer, não importando se de forma definida, medida ou determinada ainda que objetiva ou 
subjetivamente, qualitativa ou quantitativamente, ou se descrita utilizando-se termos gerais ou matemáticos (tal 
como probabilidade ou frequência durante um determinado período de tempo). 
NOTA 2 O termo em Inglês "likelihood" não têm um equivalente direto em algumas línguas; em vez disso, o 
equivalente do termo "probability" é frequentemente utilizado. Entretanto, em Inglês, "probability" é muitas vezes 
interpretado estritamente como uma expressão matemática. Portanto, na terminologia de gestão de riscos, 
”likelihood" é utilizado com a mesma ampla interpretação de que o termo "probability" tem em muitos outros 
idiomas além do Inglês. 
3.8 
risco residual 
risco (3.9) remanescente após o tratamento do risco (3.17) 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 8/97 
 
[ABNT ISO GUIA 73:2009] 
NOTA 1 O risco residual pode conter riscos não identificados. 
NOTA 2 O risco residual também pode ser conhecido como "risco retido". 
3.9 
risco 
efeito da incerteza nos objetivos 
[ABNT ISO GUIA 73:2009] 
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo. 
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e 
ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de 
produto e de processo). 
NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos (3.3) potenciais e às consequências 
(3.1), ou uma combinação destes. 
NOTA 4 O risco em segurança da informação é muitas vezes expresso em termos de uma combinação de 
consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade (likelihood) (3.7) 
associada de ocorrência. 
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, 
sua compreensão,seu conhecimento, sua consequência ou sua probabilidade. 
NOTA 6 O risco de segurança da informação está associado com o potencial de que ameaças possam explorar 
vulnerabilidades de um ativo de informação ou grupo de ativos de informação e, consequentemente, causar dano 
a uma organização. 
3.10 
análise de riscos 
processo de compreender a natureza do risco e determinar o nível de risco (3.6) 
[ABNT ISO GUIA 73:2009] 
NOTA 1 A análise de riscos fornece a base para a avaliação de riscos e para as decisões sobre o tratamento de 
riscos. 
NOTA 2 A análise de riscos inclui a estimativa de riscos. 
3.11 
processo de avaliação de riscos 
processo global de identificação de riscos (3.15), análise de riscos (3.10) e avaliação de riscos 
(3.14) 
[ABNT ISO GUIA 73:2009] 
NOTA BRASILEIRA: Para os efeitos deste documento o termo risk assessment foi traduzido como “processo de 
avaliação de riscos” (3.11) para evitar conflito com o termo risk evaluation que foi traduzido na 
ABNT NBR ISO 31000 como “avaliação de riscos” (3.14). Na ABNT NBR ISO/IEC 27001:2006, este termo está 
traduzido como “análise/avaliação de riscos”. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 9/97 
 
3.12 
comunicação e consulta 
processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou obter 
informações 
e se envolver no diálogo com as partes interessadas (3.18), com relação a gerenciar riscos (3.9) 
[ABNT ISO GUIA 73:2009] 
NOTA 1 As informações podem referir-se à existência, natureza, forma, probabilidade (likelihood) (3.7), 
severidade, avaliação, aceitação e tratamento de riscos. 
NOTA 2 A consulta é um processo bidirecional de comunicação sistematizada entre uma organização e suas 
partes interessadas ou outros, antes de tomar uma decisão ou direcionar uma questão específica. A consulta é: 
— um processo que impacta uma decisão através da influência ao invés do poder; e 
— uma entrada para o processo de tomada de decisão, e não uma tomada de decisão em conjunto. 
3.13 
critérios de risco 
termos de referência contra os quais a significância de um risco (3.9) é avaliada 
[ABNT ISO GUIA 73:2009] 
NOTA 1 Os critérios de risco são baseados nos objetivos organizacionais e no contexto externo e contexto 
interno. 
NOTA 2 Os critérios de risco podem ser derivados de normas, leis, políticas e outros requisitos. 
3.14 
avaliação de riscos 
processo de comparar os resultados da análise de riscos (3.10) com os critérios de risco (3.13) para 
determinar se o risco e/ou sua magnitude é aceitável ou tolerável 
[ABNT ISO GUIA 73:2009] 
NOTA A avaliação de riscos auxilia na decisão sobre o tratamento de riscos. 
3.15 
identificação de riscos 
processo de busca, reconhecimento e descrição de riscos 
[ABNT ISO GUIA 73:2009] 
NOTA 1 A identificação de riscos envolve a identificação das fontes de risco, eventos, suas causas 
e suas consequências potenciais. 
NOTA 2 A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de pessoas 
informadas e especialistas, e as necessidades das partes interessadas. 
3.16 
gestão de riscos 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 10/97 
 
atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos 
[ABNT ISO GUIA 73:2009] 
NOTA Esta Norma Internacional usa o termo “processo” para descrever toda a gestão de riscos. Os elementos 
contidos no processo de gestão de riscos foram chamados de “atividades”. 
3.17 
tratamento de riscos 
processo para modificar o risco 
[ABNT ISO GUIA 73:2009] 
NOTA 1 O tratamento de risco pode envolver: 
� a ação de evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco; 
� assumir ou aumentar o risco, a fim de buscar uma oportunidade; 
� a remoção da fonte de risco; 
� a alteração da probabilidade (likelihood); 
� a alteração das consequências; 
� o compartilhamento do risco com outra parte ou partes [incluindo contratos e financiamento do risco]; e 
� a retenção do risco por uma escolha consciente. 
NOTA 2 Os tratamentos de riscos relativos a consequências negativas são muitas vezes referidos como 
"mitigação de riscos", "eliminação de riscos", "prevenção de riscos" e "redução de riscos". 
NOTA 3 O tratamento de riscos pode criar novos riscos ou modificar riscos existentes. 
3.18 
parte interessada 
pessoa ou organização que pode afetar, ser afetada, ou perceber–se afetada por uma decisão ou 
atividade 
[ABNT ISO GUIA 73:2009] 
NOTA Um tomador de decisão pode ser uma parte interessada. 
4 Organização da Norma 
Esta Norma Internacional contém a descrição do processo de gestão de riscos de segurança da 
informação e das suas atividades. 
As informações sobre o contexto histórico são apresentadas na Seção 5. 
Uma visão geral do processo de gestão de riscos de segurança da informação é apresentada na 
Seção 6. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 11/97 
 
Todas as atividades de gestão de riscos de segurança da informação, apresentadas na Seção 6, são 
descritas nas seguintes seções: 
� Definição do contexto na Seção 7, 
� Processo de avaliação de riscos na Seção 8, 
� Tratamento do risco na Seção 9, 
� Aceitação do risco na Seção 10, 
� Comunicação e consulta do risco na Seção 11, 
� Monitoramento e análise crítica de riscos na Seção 12. 
Informações adicionais para as atividades de gestão de riscos de segurança da informação são 
apresentadas nos anexos. A definição do contexto é detalhada no Anexo A (Definindo o escopo e os 
limites do processo de gestão de riscos de segurança da informação). A identificação e valoração dos 
ativos e a avaliação do impacto são discutidas no Anexo B (exemplos de ativos), o Anexo C dá 
exemplos de ameaças típicas e o Anexo D apresenta vulnerabilidades e métodos para avaliação de 
vulnerabilidades. Exemplos de abordagens para o processo de avaliação de riscos de segurança da 
informação são apresentados no Anexo E. 
Restrições relativas à modificação do risco são apresentadas no Anexo F. 
As diferenças nas definições entre as normas ABNT NBR ISO/IEC 27005:2008 e a ABNT NBR ISO/IEC 
27005:2011 são apresentadas no Anexo G. 
As atividades de gestão de riscos, como apresentadas da Seção 7 até a Seção 12, estão estruturadas 
da seguinte forma: 
Entrada: Identifica as informações necessárias para realizar a atividade. 
Ação: Descreve a atividade. 
Diretrizes para implementação: Fornece diretrizes para a execução da ação. Algumas destas diretrizes 
podem não ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a ação 
podem ser mais apropriadas. 
Saída: Identifica as informações resultantes da execução da atividade. 
5 Contextualização 
Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para se 
identificar as necessidades da organização em relação aos requisitos de segurança da informação e 
para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Convém que essa 
abordagem seja adequada ao ambiente da organização e em particular esteja alinhada com o processo 
maior de gestão de riscos corporativos. Convém que os esforços de segurança lidem com riscos de 
maneira efetiva e no tempo apropriado, onde e quando forem necessários. Convém que a gestão de 
riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da 
informação e aplicada tanto à implementação quanto à operação cotidiana de um SGSI.ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 12/97 
 
Convém que a gestão de riscos de segurança da informação seja um processo contínuo. Convém que o 
processo defina o contexto interno e externo, avalie os riscos e trate os riscos usando um plano de 
tratamento a fim de implementar as recomendações e decisões. Convém que a gestão de riscos analise 
os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será 
feito, a fim de reduzir os riscos a um nível aceitável. 
Convém que a gestão de riscos de segurança da informação contribua para: 
� Identificação de riscos 
� Processo de avaliação de riscos em função das consequências ao negócio e da probabilidade de 
sua ocorrência 
� Comunicação e entendimento da probabilidade e das consequências destes riscos 
� Estabelecimento da ordem prioritária para tratamento do risco 
� Priorização das ações para reduzir a ocorrência dos riscos 
� Envolvimento das partes interessadas quando as decisões de gestão de riscos são tomadas e 
mantidas informadas sobre a situação da gestão de riscos 
� Eficácia do monitoramento do tratamento do risco 
� Monitoramento e a análise crítica periódica dos riscos e do processo de gestão de riscos 
� Coleta de informações de forma a melhorar a abordagem da gestão de riscos 
� Treinamento de gestores e pessoal a respeito dos riscos e das ações para mitigá-los 
O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um 
todo, a uma área específica da organização (por exemplo, um departamento, um local físico, um 
serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos 
particulares de um controle (por exemplo: o plano de continuidade de negócios). 
6 Visão geral do processo de gestão de riscos de segurança da informação 
Uma visão de alto nível do processo de gestão de riscos é especificado na ABNT NBR ISO 31000:2009 
e apresentado na Figura 1. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 13/97 
 
 
Figura 1 – O processo de gestão de riscos 
A Figura 2 apresenta como esta Norma Internacional se aplica ao processo de gestão de riscos. 
O processo de gestão de riscos de segurança da informação consiste na definição do contexto 
(Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco 
(Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos 
(Seção 12). 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 14/97 
 
 
Figura 2 - Processo de gestão de riscos de segurança da informação 
Como mostra a Figura 2, o processo de gestão de riscos de segurança da informação pode ser iterativo 
para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco. Um enfoque 
iterativo na execução do processo de avaliação de riscos torna possível aprofundar e detalhar a 
avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o esforço despendidos na 
identificação de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade 
possam ser adequadamente avaliados. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 15/97 
 
Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. 
Se ele fornecer informações suficientes para que se determine de forma eficaz as ações necessárias 
para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode 
suceder-se. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do 
processo de avaliação de riscos, revisando-se o contexto (por exemplo: os critérios de avaliação de 
riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo 
(ver Figura 2, Ponto de Decisão 1). 
A eficácia do tratamento do risco depende dos resultados do processo de avaliação de riscos. 
Note que o tratamento de riscos envolve um processo cíclico para: 
• avaliar um tratamento do risco; 
• decidir se os níveis de risco residual são aceitáveis; 
• gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis; e 
• avaliar a eficácia do tratamento. 
É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. 
Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com 
mudanças nas variáveis do contexto (por exemplo: os critérios para o processo de avaliação de riscos, 
de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco 
(ver Figura 2, Ponto de Decisão 2). 
A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos 
pelos gestores da organização. Isso é especialmente importante em uma situação em que a 
implementação de controles é omitida ou adiada, por exemplo, devido aos custos. 
Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a 
forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores 
apropriados. Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser 
muito úteis para o gerenciamento de incidentes e ajudar a reduzir possíveis prejuízos. A 
conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles 
aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxiliam a lidar com 
os incidentes e eventos não previstos da maneira mais efetiva. Convém que os resultados detalhados 
de cada atividade do processo de gestão de riscos de segurança da informação, assim como as 
decisões sobre o processo de avaliação de riscos e sobre o tratamento do risco (representadas pelos 
dois pontos de decisão na Figura 2), sejam documentados. 
A ABNT NBR ISO/IEC 27001:2006 especifica que os controles implementados no escopo, limites e 
contexto do SGSI devem ser baseados no risco. A aplicação de um processo de gestão de riscos de 
segurança da informação pode satisfazer esse requisito. Há vários métodos através dos quais o 
processo pode ser implementado com sucesso em uma organização. Convém que a organização use o 
método que melhor se adeque a suas circunstâncias, para cada aplicação específica do processo. 
Em um SGSI, a definição do contexto, o processo de avaliação de riscos, o desenvolvimento do plano 
de tratamento do risco e a aceitação do risco fazem parte da fase "planejar". Na fase "executar" do 
SGSI, as ações e controles necessários para reduzir os riscos para um nível aceitável são 
implementados de acordo com o plano de tratamento do risco. Na fase “verificar” do SGSI, os gestores 
determinarão a necessidade de revisão da avaliação e tratamento do risco à luz dos incidentes e 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 16/97 
 
mudanças nas circunstâncias. Na fase “agir”, as ações necessárias são executadas, incluindo a 
reaplicação do processo de gestão de riscos de segurança da informação. 
A Tabela 1 resume as atividades relevantes de gestão de riscos de segurança da informação para as 
quatro fases do processo do SGSI: 
Tabela 1 – Alinhamento do processo do SGSI e do processo de gestão de riscos de segurança 
da informação 
Processo do SGSI Processo de gestão de riscos de segurança dainformação 
 Planejar 
Definição do contexto 
Processo de avaliação de riscos 
Definição do plano de tratamento do risco 
Aceitação do risco 
Executar Implementação do plano de tratamento do risco 
Verificar Monitoramento contínuo e análise crítica de riscos 
Agir Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação 
 
7 Definição do contexto 
7.1 Considerações Gerais 
Entrada: Todas as informações sobre a organização relevantes para a definição do contexto da gestão 
de riscos de segurança da informação. 
Ação: Convém que o contexto externo e interno para gestão de riscos de segurança da informação seja 
estabelecido, o que envolve a definição dos critérios básicos necessários para a gestão de riscos de 
segurança da informação (7.2), a definição do escopo e dos limites (7.3) e o estabelecimento de uma 
organização apropriada para operar a gestão de riscos de segurança da informação (7.4). 
Diretrizes para implementação: 
É essencial determinar o propósito da gestão de riscos de segurança da informação, pois ele afeta o 
processo em geral e a definição do contexto em particular. Esse propósito pode ser: 
� Suporte a um SGSI 
� Conformidade legal e evidência da devida diligência (“due diligence”) 
� Preparação de um plano de continuidade de negócios 
� Preparação de um plano de resposta a incidentes 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 17/97 
 
� Descrição dos requisitos de segurança da informação para um produto, um serviço ou um 
mecanismo 
As diretrizes para implementação dos elementos da definição do contexto necessários para dar suporte 
a um SGSI são discutidas detalhadamente nas Seções 7.2, 7.3 e 7.4 a seguir. 
NOTA A ABNT NBR ISO/IEC 27001:2006 não usa o termo “contexto”. No entanto, a Seção 7 refere-se aos 
requisitos “definir o escopo e limites do SGSI” [4.2.1.a)], “definir uma política para o SGSI” [4.2.1.b)] e “definir a 
abordagem de análise/avaliação de riscos” [4.2.1.c)], especificados na ABNT NBR ISO/IEC 27001:2006. 
Saída: A especificação dos critérios básicos; o escopo e os limites do processo de gestão de riscos de 
segurança da informação; e a organização responsável pelo processo. 
7.2 Critérios básicos 
7.2.1 Abordagem da gestão de riscos 
Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados. 
O método também pode ser diferente para cada iteração do processo. 
Convém que um método de gestão de riscos apropriado seja selecionado ou desenvolvido e leve em 
conta critérios básicos, tais como: critérios de avaliação de riscos, critérios de impacto e critérios de 
aceitação do risco. 
Além disso, convém que a organização avalie se os recursos necessários estão disponíveis para: 
� Executar o processo de avaliação de riscos e estabelecer um plano de tratamento de riscos 
� Definir e implementar políticas e procedimentos, incluindo implementação dos controles 
selecionados 
� Monitorar controles 
� Monitorar o processo de gestão de riscos de segurança da informação 
NOTA Ver também a ABNT NBR ISO/IEC 27001:2006 (Seção 5.2.1) com relação à provisão de recursos para 
a implementação e operação de um SGSI. 
7.2.2 Critérios para a avaliação de riscos 
Convém que os critérios para a avaliação de riscos sejam desenvolvidos para avaliar os riscos de 
segurança da informação na organização, considerando os seguintes itens: 
� O valor estratégico do processo que trata as informações de negócio 
� A criticidade dos ativos de informação envolvidos 
� Requisitos legais e regulatórios, bem como as obrigações contratuais 
� Importância do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade 
e da integridade 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 18/97 
 
� Expectativas e percepções das partes interessadas e consequências negativas para o valor de 
mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a 
reputação 
Além disso, critérios para avaliação de riscos podem ser usados para especificar as prioridades para o 
tratamento do risco. 
7.2.3 Critérios de impacto 
Convém que os critérios de impacto sejam desenvolvidos e especificados em função do montante dos 
danos ou custos à organização causados por um evento relacionado com a segurança da informação, 
considerando o seguinte: 
� Nível de classificação do ativo de informação afetado 
� Ocorrências de violação da segurança da informação (por exemplo, perda da disponibilidade, da 
confidencialidade e/ou da integridade) 
� Operações comprometidas (internas ou de terceiros) 
� Perda de oportunidades de negócio e de valor financeiro 
� Interrupção de planos e o não cumprimento de prazos 
� Dano à reputação 
� Violações de requisitos legais, regulatórios ou contratuais 
NOTA Veja também a ABNT NBR ISO/IEC 27001:2006 [Seção 4.2.1 d) 4] com relação à identificação dos 
critérios de impacto, considerando a perda da confidencialidade, da integridade e/ou da disponibilidade. 
7.2.4 Critérios para a aceitação do risco 
Convém que os critérios para a aceitação do risco sejam desenvolvidos e especificados. Os critérios de 
aceitação do risco dependem frequentemente das políticas, metas e objetivos da organização, assim 
como dos interesses das partes interessadas. 
Convém que a organização defina sua própria escala de níveis de aceitação do risco. Convém que os 
seguintes tópicos sejam considerados durante o desenvolvimento: 
� Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível 
desejável de risco, porém precauções podem ser tomadas por gestores seniores para aceitar riscos 
acima desse nível desde que sob circunstâncias definidas 
� Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou 
outro benefício ao negócio) e o risco estimado 
� Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por 
exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não 
ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isto for especificado como um 
requisito contratual 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 19/97 
 
� Critérios para a aceitação do risco podem incluir requisitos para um tratamento adicional futuro, por 
exemplo: um risco poderá ser aceito se for aprovado e houver o compromisso de que ações para 
reduzi-lo a um nível aceitável serão tomadas dentro de um determinado período de tempo 
Critérios para a aceitação do risco podem ser diferenciados de acordo com o tempo de existência 
previsto do risco, por exemplo: o risco pode estar associado a uma atividade temporária ou de curto 
prazo. Convém que os critérios para a aceitação do risco sejam estabelecidos, considerando os 
seguintes itens: 
� Critérios de negócio 
� Aspectos legais e regulatórios 
� Operações 
� Tecnologia 
� Finanças 
� Fatores sociais e humanitários 
NOTA Os critérios para a aceitação do risco correspondem aos “critérios para aceitação do risco e 
identificação do nível aceitável dos mesmos” especificados na ABNT NBR ISO/IEC 27001:2006 Seção 4.2.1.c) 2). 
Mais informações podem ser encontradas no Anexo A. 
7.3 Escopo e limites 
Convém que a organização defina o escopo e os limites da gestão de riscos de segurança da 
informação. 
O escopo do processo de gestão de riscos de segurança da informação precisa ser definido para 
assegurar que todos os ativos relevantes sejam considerados no processode avaliação de riscos. Além 
disso, os limites precisam ser identificados [ver também a ABNT NBR ISO/IEC 27001:2006 
Seção 4.2.1.a)] para permitir o reconhecimento dos riscos que possam transpor esses limites. 
Convém que as informações sobre a organização sejam reunidas para que seja possível determinar o 
ambiente em que ela opera e a relevância desse ambiente para o processo de gestão de riscos de 
segurança da informação. 
Ao definir o escopo e os limites, convém que a organização considere as seguintes informações: 
� Os objetivos estratégicos, políticas e estratégias da organização 
� Processos de negócio 
� As funções e estrutura da organização 
� Requisitos legais, regulatórios e contratuais aplicáveis à organização 
� A política de segurança da informação da organização 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 20/97 
 
� A abordagem da organização à gestão de riscos 
� Ativos de informação 
� Localidades em que a organização se encontra e suas características geográficas 
� Restrições que afetam a organização 
� Expectativas das partes interessadas 
� Ambiente sociocultural 
� Interfaces (ou seja: a troca de informação com o ambiente) 
Além disso, convém que a organização forneça justificativa para quaisquer exclusões do escopo. 
Exemplos do escopo da gestão de riscos podem ser: uma aplicação de TI, a infraestrutura de TI, um 
processo de negócios ou uma parte definida da organização. 
NOTA O escopo e os limites da gestão de riscos de segurança da informação estão relacionados ao escopo e 
aos limites do SGSI, conforme requerido na ABNT NBR ISO/IEC 27001:2006 4.2.1.a). 
Informações adicionais podem ser encontradas no Anexo A. 
7.4 Organização para gestão de riscos de segurança da informação 
Convém que a organização e as responsabilidades para o processo de gestão de riscos de segurança 
da informação sejam estabelecidas e mantidas. A seguir estão os principais papéis e responsabilidades 
dessa organização: 
� Desenvolvimento do processo de gestão de riscos de segurança da informação adequado à 
organização 
� Identificação e análise das partes interessadas 
� Definição dos papéis e responsabilidades de todas as partes, internas e externas à organização 
� Estabelecimento das relações necessárias entre a organização e as partes interessadas, das 
interfaces com as funções de alto nível de gestão de riscos da organização (por exemplo, a gestão 
de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes 
� Definição de alçadas para a tomada de decisões 
� Especificação dos registros a serem mantidos 
Convém que essa organização seja aprovada pelos gestores apropriados. 
NOTA A ABNT NBR ISO/IEC 27001:2006 requer a identificação e a provisão dos recursos necessários para 
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI [5.2.1.a)]. A 
organização das operações de gestão de riscos pode ser considerada como um dos recursos necessários, 
segundo a ABNT NBR ISO/IEC 27001:2006. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 21/97 
 
8 Processo de avaliação de riscos de segurança da informação 
8.1 Descrição geral do processo de avaliação de riscos de segurança da informação 
NOTA A atividade do processo de avaliação de riscos é referida como processo de análise/avaliação de riscos 
na ABNT NBR ISO/IEC 27001:2006. 
Entrada: Critérios básicos, o escopo e os limites, e a organização do processo de gestão de riscos de 
segurança da informação que se está definindo. 
Ação: Convém que os riscos sejam identificados, quantificados ou descritos qualitativamente, 
priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes da organização. 
Diretrizes para implementação: 
Um risco é a combinação das consequências advindas da ocorrência de um evento indesejado e da 
probabilidade da ocorrência do mesmo. O processo de avaliação de riscos quantifica ou descreve o 
risco qualitativamente e capacita os gestores a priorizar os riscos de acordo com a sua gravidade 
percebida ou com outros critérios estabelecidos. 
O processo de avaliação de riscos consiste nas seguintes atividades: 
� Identificação de riscos (Seção 8.2) 
� Análise de riscos (Seção 8.3) 
� Avaliação de riscos (Seção 8.4) 
O processo de avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e 
vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus 
efeitos no risco identificado, determina as consequências possíveis e, finalmente, prioriza os riscos 
derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do 
contexto. 
O processo de avaliação de riscos é executado frequentemente em duas (ou mais) iterações. 
Primeiramente, uma avaliação de alto nível é realizada para identificar os riscos potencialmente altos, 
os quais merecem uma avaliação mais aprofundada. A segunda iteração pode considerar com mais 
profundidade esses riscos potencialmente altos revelados na primeira iteração. Se ela não fornecer 
informações suficientes para avaliar o risco, então análises adicionais detalhadas precisarão ser 
executadas, provavelmente em partes do escopo total e possivelmente usando um outro método. 
Cabe à organização selecionar seu próprio método para o processo de avaliação de riscos baseado nos 
objetivos e na meta do processo de avaliação de riscos. 
Uma discussão sobre métodos utilizados no processo de avaliação de riscos de segurança da 
informação pode ser encontrada no Anexo E. 
Saída: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os critérios de avaliação 
de riscos. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 22/97 
 
8.2 Identificação de riscos 
8.2.1 Introdução à identificação de riscos 
O propósito da identificação de riscos é determinar eventos que possam causar uma perda potencial e 
deixar claro como, onde e por que a perda pode acontecer. As etapas descritas nas próximas 
subseções de 8.2 servem para coletar dados de entrada para a atividade de análise de riscos. 
Convém que a identificação de riscos inclua os riscos cujas fontes estejam ou não sob controle da 
organização, mesmo que a fonte ou a causa dos riscos não seja evidente. 
NOTA Atividades descritas nas seções subsequentes podem ser executadas em uma ordem diferente 
dependendo da metodologia aplicada. 
8.2.2 Identificação dos ativos 
Entrada: Escopo e limites para o processo de avaliação de riscos a ser executado; lista de componentes 
com responsáveis, localidade, função etc.. 
Ação: Convém que os ativos dentro do escopo estabelecido sejam identificados (refere-se à 
ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1.d) 1)). 
Diretrizes para implementação: 
Um ativo é algo que tem valor para a organização e que, portanto, requer proteção. Para a identificação 
dos ativos convém que se tenha em mente que um sistema de informação compreende mais do que 
hardware e software. 
Convém que a identificação dos ativos seja executada com um detalhamento adequado que forneça 
informações suficientes para o processo de avaliação de riscos. O nível de detalhe usado na 
identificação dos ativos influenciará na quantidade geral de informações reunidas durante o processo de 
avaliação de riscos. O detalhamento pode ser aprofundado em cada iteração do processo de avaliação 
de riscos. 
Convém que um responsável seja identificado para cada ativo, a fim de oficializar sua responsabilidade 
e garantira possibilidade da respectiva prestação de contas. O responsável pelo ativo pode não ter 
direitos de propriedade sobre o mesmo, mas tem responsabilidade sobre sua produção, 
desenvolvimento, manutenção, utilização e segurança, conforme apropriado. O responsável pelo ativo é 
frequentemente a pessoa mais adequada para determinar o valor do mesmo para a organização 
(ver 8.3.2 sobre a valoração dos ativos). 
O limite da análise crítica é o perímetro dos ativos da organização a serem considerados pelo processo 
de gestão de riscos de segurança da informação. 
Mais informações sobre a identificação e valoração dos ativos, sob a perspectiva da segurança da 
informação, podem ser encontradas no Anexo B. 
Saída: Uma lista de ativos com riscos a serem gerenciados, e uma lista dos processos de negócio 
relacionados aos ativos e suas relevâncias. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 23/97 
 
8.2.3 Identificação das ameaças 
Entrada: Informações sobre ameaças obtidas a partir da análise crítica de incidentes, dos responsáveis 
pelos ativos, de usuários e de outras fontes, incluindo catálogos externos de ameaças. 
Ação: Convém que as ameaças e suas fontes sejam identificadas (refere-se à 
ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 d) 2)). 
Diretrizes para implementação: 
Uma ameaça tem o potencial de comprometer ativos (tais como, informações, processos e sistemas) e, 
por isso, também as organizações. Ameaças podem ser de origem natural ou humana e podem ser 
acidentais ou intencionais. Convém que tanto as fontes das ameaças acidentais, quanto as intencionais, 
sejam identificadas. Uma ameaça pode surgir de dentro ou de fora da organização. Convém que as 
ameaças sejam identificadas genericamente e por classe (por exemplo, ações não autorizadas, danos 
físicos, falhas técnicas) e, quando apropriado, ameaças específicas identificadas dentro das classes 
genéricas. Isso significa que, nenhuma ameaça é ignorada, incluindo as não previstas, mas que o 
volume de trabalho exigido é limitado. 
Algumas ameaças podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos 
diferentes, dependendo de quais ativos são afetados. 
Dados de entrada para a identificação das ameaças e análise da probabilidade de ocorrência (ver 8.3.3) 
podem ser obtidos dos responsáveis pelos ativos ou dos usuários, do pessoal, dos administradores das 
instalações e dos especialistas em segurança da informação, de peritos em segurança física, do 
departamento jurídico e de outras organizações, incluindo organismos legais, autoridades climáticas, 
companhias de seguros e autoridades governamentais nacionais. Aspectos culturais e relacionados ao 
ambiente precisam ser considerados quando se examina as ameaças. 
Convém que experiências internas de incidentes e avaliações anteriores das ameaças sejam 
consideradas na avaliação atual. Pode ser útil a consulta a outros catálogos de ameaças (talvez mais 
específico a uma organização ou negócio) a fim de completar a lista de ameaças genéricas, quando 
relevante. Catálogos de ameaças e estatísticas são disponibilizados por organismos setoriais, governos 
nacionais, organismos legais, companhias de seguro etc. 
Quando forem usados catálogos de ameaças ou os resultados de uma avaliação anterior das ameaças, 
convém que se tenha consciência de que as ameaças relevantes estão sempre mudando, 
especialmente se o ambiente de negócio ou se os sistemas de informações mudarem. 
Mais informações sobre tipos de ameaças podem ser encontradas no Anexo C. 
Saída: Uma lista de ameaças com a identificação do tipo e da fonte das ameaças. 
8.2.4 Identificação dos controles existentes 
Entrada: Documentação dos controles, planos de implementação do tratamento do risco. 
Ação: Convém que os controles existentes e os planejados sejam identificados. 
Diretrizes para implementação: 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 24/97 
 
Convém que a identificação dos controles existentes seja realizada para evitar custos e trabalho 
desnecessários, por exemplo, na duplicação de controles. Além disso, enquanto os controles existentes 
estão sendo identificados, convém que seja feita uma verificação para assegurar que eles estão 
funcionando corretamente - uma referência aos relatórios já existentes de auditoria do SGSI pode 
reduzir o tempo gasto nesta tarefa. Um controle que não funcione como esperado pode provocar o 
surgimento de vulnerabilidades. Convém que seja levada em consideração a possibilidade de um 
controle selecionado (ou estratégia) falhar durante sua operação. Sendo assim, controles 
complementares são necessários para tratar efetivamente o risco identificado. Em um SGSI, de acordo 
com a ABNT NBR ISO/IEC 27001, isso é auxiliado pela medição da eficácia dos controles. Uma 
maneira para estimar o efeito do controle é ver o quanto ele reduz, por um lado, a probabilidade da 
ameaça e a facilidade com que uma vulnerabilidade pode ser explorada ou, por outro lado, o impacto do 
incidente. A análise crítica pela direção e relatórios de auditoria também fornecem informações sobre a 
eficácia dos controles existentes. 
Convém que os controles que estão planejados para serem implementados de acordo com os planos de 
implementação de tratamento do risco também sejam considerados, juntamente com aqueles que já 
estão implementados. 
Controles existentes ou planejados podem ser considerados ineficazes, insuficientes ou não-
justificados. Convém que um controle insuficiente ou não justificado seja verificado para determinar se 
convém que o mesmo seja removido, substituído por outro controle mais adequado ou se convém que o 
controle permaneça em vigor, por exemplo, em função dos custos. 
Para a identificação dos controles existentes ou planejados, as seguintes atividades podem ser úteis: 
� Analisar de forma crítica os documentos contendo informações sobre os controles (por exemplo, os 
planos de implementação de tratamento do risco). Se os processos de gestão da segurança da 
informação estão bem documentados, convém que todos os controles existentes ou planejados e a 
situação de sua implementação estejam disponíveis; 
� Verificar com as pessoas responsáveis pela segurança da informação (por exemplo, o responsável 
pela segurança da informação, o responsável pela segurança do sistema da informação, o gerente 
das instalações prediais, o gerente de operações) e com os usuários quais controles, relacionados 
ao processo de informação ou ao sistema de informação sob consideração, estão realmente 
implementados; 
� Revisar, no local, os controles físicos, comparando os controles implementados com a lista de quais 
convém que estejam presentes; e verificar se aqueles implementados estão funcionando efetiva e 
corretamente, ou 
� Analisar criticamente os resultados de auditorias. 
Saída: Uma lista de todos os controles existentes e planejados, sua implementação e status de 
utilização. 
8.2.5 Identificação das vulnerabilidades 
Entrada: Uma lista de ameaças conhecidas, listas de ativos e controles existentes. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 25/97 
 
Ação: Convém que as vulnerabilidades que podem se exploradas por ameaças para comprometer os 
ativos ou a organização sejam identificadas (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 
d) 3)). 
Diretrizes para implementação: 
Vulnerabilidades podem ser identificadas nas seguintes áreas: 
� Organização 
� Processos e procedimentos 
� Rotinas de gestão 
� Recursos humanos 
� Ambiente físico 
� Configuração do sistemade informação 
� Hardware, software ou equipamentos de comunicação 
� Dependência de entidades externas 
A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça 
presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não 
requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida 
como tal e monitorada, no caso de haver mudanças. Note-se que um controle implementado, 
funcionando incorretamente ou sendo usado incorretamente, pode, por si só, representar uma 
vulnerabilidade. Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. 
Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em 
um risco. 
Vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma 
forma ou para um propósito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. 
Vulnerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo, as 
intrínsecas ao ativo e as extrínsecas. 
Exemplos de vulnerabilidades e métodos para avaliação de vulnerabilidades podem ser encontrados no 
Anexo D. 
Saída: Uma lista de vulnerabilidades associadas aos ativos, ameaças e controles; uma lista de 
vulnerabilidades que não se refere a nenhuma ameaça identificada para análise. 
8.2.6 Identificação das consequências 
Entrada: Uma lista de ativos, uma lista de processos do negócio e uma lista de ameaças e 
vulnerabilidades, quando aplicável, relacionadas aos ativos e sua relevância. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 26/97 
 
Ação: Convém que as consequências que a perda de confidencialidade, de integridade e de 
disponibilidade podem ter sobre os ativos sejam identificadas (ver ABNT NBR ISO/IEC 27001:2006 
4.2.1 d)4)). 
Diretrizes para implementação: 
Uma consequência pode ser, por exemplo, a perda da eficácia, condições adversas de operação, a 
perda de oportunidades de negócio, reputação afetada, prejuízo etc. 
Essa atividade identifica o prejuízo ou as consequências para a organização que podem decorrer de um 
cenário de incidente. Um cenário de incidente é a descrição de uma ameaça explorando uma certa 
vulnerabilidade ou um conjunto delas em um incidente de segurança da informação 
(ver ABNT NBR ISO/IEC 27002:2005, Seção 13). O impacto dos cenários de incidentes é determinado 
considerando-se os critérios de impacto definidos durante a atividade de definição do contexto. Ele pode 
afetar um ou mais ativos ou apenas parte de um ativo. Assim, aos ativos podem ser atribuídos valores 
correspondendo tanto aos seus custos financeiros, quanto às consequências ao negócio se forem 
danificados ou comprometidos. Consequências podem ser de natureza temporária ou permanente como 
no caso da destruição de um ativo. 
NOTA A ABNT NBR ISO/IEC 27001:2006 descreve a ocorrência de cenários de incidentes como “falhas de 
segurança”. 
Convém que as organizações identifiquem as consequências operacionais de cenários de incidentes 
em função de (mas não limitado a): 
� Investigação e tempo de reparo 
� Tempo (de trabalho) perdido 
� Oportunidade perdida 
� Saúde e Segurança 
� Custo financeiro das competências específicas necessárias para reparar o prejuízo 
� Imagem, reputação e valor de mercado 
Detalhes sobre a avaliação de vulnerabilidades técnicas podem ser encontrados em B.3 - Avaliação do 
Impacto. 
Saída: Uma lista de cenários de incidentes com suas consequências associadas aos ativos e processos 
do negócio. 
8.3 Análise de riscos 
8.3.1 Metodologias de análise de riscos 
A análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da 
criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores 
envolvendo a organização. Uma metodologia para a análise pode ser qualitativa ou quantitativa ou uma 
combinação de ambos, dependendo das circunstâncias. Na prática, a análise qualitativa é 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 27/97 
 
frequentemente utilizada em primeiro lugar para obter uma indicação geral do nível de risco e para 
revelar os grandes riscos. Depois, poderá ser necessário efetuar uma análise quantitativa ou mais 
específica, nos grandes riscos. Isso ocorre porque normalmente é menos complexo e menos oneroso 
realizar análises qualitativas do que quantitativas. 
Convém que a forma da análise seja coerente com o critério de avaliação de riscos desenvolvida como 
parte da definição do contexto. 
Detalhes adicionais a respeito das metodologias para a análise estão descritos a seguir: 
(a) Análise qualitativa de riscos: 
A análise qualitativa utiliza uma escala com atributos qualificadores que descrevem a magnitude das 
consequências potenciais (por exemplo, Pequena, Média e Grande) e a probabilidade dessas 
consequências ocorrerem. Uma vantagem da análise qualitativa é sua facilidade de compreensão por 
todas as pessoas envolvidas enquanto que uma desvantagem é a dependência à escolha subjetiva da 
escala. 
Essas escalas podem ser adaptadas ou ajustadas para se adequarem às circunstâncias e descrições 
diferentes podem ser usadas para riscos diferentes. A análise qualitativa pode ser utilizada: 
� Como uma verificação inicial a fim de identificar riscos que exigirão uma análise mais detalhada 
� Quando esse tipo de análise é suficiente para a tomada de decisões 
� Quando os dados numéricos ou recursos são insuficientes para uma análise quantitativa 
Convém que a análise qualitativa utilize informações e dados factuais quando disponíveis. 
(b) Análise quantitativa de riscos: 
A análise quantitativa utiliza uma escala com valores numéricos (e não as escalas descritivas usadas na 
análise qualitativa) tanto para consequências quanto para a probabilidade, usando dados de diversas 
fontes. A qualidade da análise depende da exatidão e da integralidade dos valores numéricos e da 
validade dos modelos utilizados. A análise quantitativa, na maioria dos casos, utiliza dados históricos 
dos incidentes, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da 
segurança da informação e interesses da organização. Uma desvantagem é a falta de tais dados sobre 
novos riscos ou sobre fragilidades da segurança da informação. Uma desvantagem da abordagem 
quantitativa ocorre quando dados factuais e auditáveis não estão disponíveis. Nesse caso, a exatidão 
do processo de avaliação de riscos e os valores associados tornam-se ilusórios. 
A forma na qual as consequências e a probabilidade são expressas e a forma em que elas são 
combinadas para fornecer um nível de risco irá variar de acordo com o tipo de risco e do propósito para 
o qual os resultados do processo de avaliação de riscos serão usados. Convém que a incerteza e a 
variabilidade tanto das consequências, quanto da probabilidade, sejam consideradas na análise e 
comunicadas de forma eficaz. 
8.3.2 Avaliação das consequências 
Entrada: Uma lista de cenários de incidentes identificados como relevantes, incluindo a identificação de 
ameaças, vulnerabilidades, ativos afetados e consequências para os ativos e processos do negócio. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 28/97 
 
Ação: Convém que o impacto sobre o negócio da organização, que pode ser causado por incidentes 
(possíveis ou reais) relacionados à segurança da informação, seja avaliado levando-se em conta as 
consequências de uma violação da segurança da informação, como por exemplo: a perda daconfidencialidade, da integridade ou da disponibilidade dos ativos (refere-se à 
ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e)1)). 
Diretrizes para implementação: 
Depois de identificar todos os ativos relevantes, convém que os valores atribuídos a esses ativos sejam 
levados em consideração durante a avaliação das consequências. 
O valor do impacto ao negócio pode ser expresso de forma qualitativa ou quantitativa, porém um 
método para designar valores monetários geralmente pode fornecer mais informações úteis para a 
tomada de decisões e, consequentemente, permitir que o processo de tomada de decisão seja mais 
eficiente. 
A valoração dos ativos começa com a classificação dos mesmos de acordo com sua criticidade, em 
função da importância dos ativos para a realização dos objetivos de negócios da organização. A 
valoração é então determinada de duas maneiras: 
� o valor de reposição do ativo: o custo da recuperação e da reposição da informação (se for 
possível) e 
� as consequências ao negócio relacionadas à perda ou ao comprometimento do ativo, tais como as 
possíveis consequências adversas de caráter empresarial, legal ou regulatórias causadas pela 
divulgação indevida, modificação, indisponibilidade e/ou destruição de informações ou de outros 
ativos de informação 
Essa valoração pode ser determinada a partir de uma análise de impacto no negócio. O valor, 
determinado em função da consequência para o negócio, normalmente é significativamente mais 
elevado do que o simples custo de reposição, dependendo da importância do ativo para a organização 
na realização dos objetivos de negócios. 
A valoração dos ativos representa um dos aspectos mais importantes na avaliação do impacto de um 
cenário de incidente, pois o incidente pode afetar mais de um ativo (por exemplo: os ativos 
dependentes) ou somente parte de um ativo. Diferentes ameaças e vulnerabilidades causarão 
diferentes impactos sobre os ativos, tais como perda da confidencialidade, da integridade ou da 
disponibilidade. A avaliação das consequências está, portanto, relacionada à valoração dos ativos 
baseada na análise de impacto no negócio. 
As consequências ou o impacto ao negócio podem ser determinados por meio da criação de modelos 
com os resultados de um evento, um conjunto de eventos ou através da extrapolação a partir de 
estudos experimentais ou dados passados. 
As consequências podem ser expressas em função dos critérios monetários, técnicos ou humanos, de 
impacto ou de outro critério relevante para a organização. Em alguns casos, mais de um valor numérico 
é necessário para especificar as consequências tendo em vista os diferentes momentos, lugares, 
grupos ou situações. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 29/97 
 
Convém que as consequências expressas em tempo e valor financeiro sejam medidas com a mesma 
abordagem utilizada para a probabilidade da ameaça e as vulnerabilidades. A consistência deve ser 
mantida com respeito à abordagem quantitativa ou qualitativa. 
Mais informações sobre valoração dos ativos e sobre a avaliação do impacto podem ser encontradas no 
Anexo B. 
Saída: Uma lista de consequências avaliadas referentes a um cenário de incidente, relacionadas aos 
ativos e critérios de impacto. 
8.3.3 Avaliação da probabilidade dos incidentes 
Entrada: Uma lista de cenários de incidentes identificados como relevantes, incluindo a identificação de 
ameaças, ativos afetados, vulnerabilidades exploradas e consequências para os ativos e processos do 
negócio. Além disso, listas com todos os controles existentes e planejados, sua eficácia, implementação 
e status de utilização. 
Ação: Convém que a probabilidade dos cenários de incidentes seja avaliada (refere-se à 
ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 2)). 
Diretrizes para implementação: 
Depois de identificar os cenários de incidentes, é necessário avaliar a probabilidade de cada cenário e 
do impacto correspondente, usando técnicas de análise qualitativas ou quantitativas. Convém levar em 
conta a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser 
exploradas, considerando o seguinte: 
� a experiência passada e estatísticas aplicáveis referentes à probabilidade da ameaça 
� para fontes de ameaças intencionais: a motivação e as competências, que mudam ao longo do 
tempo, os recursos disponíveis para possíveis atacantes, bem como a percepção da vulnerabilidade 
e o poder da atração dos ativos para um possível atacante 
� para fontes de ameaças acidentais: fatores geográficos (como por exemplo, proximidade a fábricas 
e refinarias de produtos químicos e petróleo), a possibilidade de eventos climáticos extremos e 
fatores que poderiam acarretar erros humanos e o mau funcionamento de equipamentos 
� vulnerabilidades, tanto individualmente como em conjunto 
� os controles existentes e a eficácia com que eles reduzem as vulnerabilidades 
Por exemplo, um sistema de informação pode ter uma vulnerabilidade relacionada às ameaças de se 
forjar a identidade de um usuário e de se fazer mau uso de recursos. A vulnerabilidade relacionada ao 
uso forjado da identidade de um usuário pode ser alta devido, por exemplo, à falta de um mecanismo de 
autenticação de usuário. Por outro lado, a probabilidade de utilização indevida dos recursos pode ser 
baixa, apesar da falta de auteticação, pois os meios disponíveis para que isso pudesse acontecer são 
limitados. 
Dependendo da necessidade de exatidão, ativos podem ser agrupados ou pode ser necessário dividir 
um ativo em seus componentes e relacionar estes aos cenários. Por exemplo: conforme a localidade 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 30/97 
 
geográfica, a natureza das ameaças a um mesmo tipo de ativo ou a eficácia dos controles existentes 
podem variar. 
Saída: Probabilidade dos cenários de incidentes (no método quantitativo ou no qualitativo). 
8.3.4 Determinação do nível de risco 
Entrada: Uma lista de cenários de incidentes com suas consequências associadas aos ativos, 
processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo). 
Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados 
relevantes (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)). 
Diretrizes para implementação: 
A análise de riscos designa valores para a probabilidade e para as consequências de um risco. Esses 
valores podem ser de natureza quantitativa ou qualitativa. A análise de riscos é baseada nas 
consequências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as 
preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de 
riscos. O risco estimado é uma combinação da probabilidade de um cenário de incidente e suas 
consequências. 
Exemplos de diferentes abordagens ou métodos para análise de riscos de segurança da informação 
podem ser encontrados no Anexo E. 
Saída: Uma lista de riscos com níveis de valores designados. 
8.4 Avaliação de riscos 
Entrada: Uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos. 
Ação: Convém que o nível dos riscos seja comparado com os critérios de avaliação de riscos e com os 
critérios para a aceitação do risco (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)). 
Diretrizes para implementação: 
A natureza das decisões relativas à avaliação de riscos e os critérios de avaliação de riscos que irão ser 
usados para tomar essas decisões teriam sido decididos durante a definição do contexto. Convém que 
essas decisões e o contexto sejam revisados detalhadamentenesse estágio em que se conhece mais 
sobre os riscos identificados. Para avaliar os riscos, convém que as organizações comparem os riscos 
estimados (usando os métodos ou abordagens selecionadas como abordado no Anexo E) com os 
critérios de avaliação de riscos definidos durante a definição do contexto. 
Convém que os critérios de avaliação de riscos utilizados na tomada de decisões sejam consistentes 
com o contexto definido, externo e interno, relativo à gestão de riscos de segurança da informação e 
levem em conta os objetivos da organização, o ponto de vista das partes interessadas etc. As decisões 
tomadas durante a atividade de avaliação de riscos são baseadas principalmente no nível de risco 
aceitável. No entanto, convém que as consequências, a probabilidade e o grau de confiança na 
identificação e análise de riscos também sejam considerados. A agregação de vários pequenos ou 
médios riscos pode resultar em um risco total bem mais significativo e precisa ser tratada 
adequadamente. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 31/97 
 
Convém que os seguintes itens sejam considerados: 
� Propriedades da segurança da informação: se um critério não for relevante para a organização (por 
exemplo: a perda da confidencialidade), logo, todos os riscos que provocam esse tipo de impacto 
podem ser considerados irrelevantes 
� A importância do processo de negócios ou da atividade suportada por um determinado ativo ou 
conjunto de ativos: se o processo tiver sido julgado de baixa importância, convém que os riscos 
associados a ele sejam menos considerados do que os riscos que causam impactos em processos 
ou atividades mais importantes 
A avaliação de riscos usa o entendimento do risco obtido através da análise de riscos para a tomada de 
decisões sobre ações futuras. Convém que as seguintes questões sejam decididas: 
� Convém que uma atividade seja empreendida 
� As prioridades para o tratamento do risco, levando-se em conta os níveis estimados de risco 
Durante a etapa de avaliação de riscos, além dos riscos estimados, convém que requisitos contratuais, 
legais e regulatórios também sejam considerados. 
Saída: Uma lista de riscos priorizada, de acordo com os critérios de avaliação de riscos, em relação aos 
cenários de incidentes que podem levar a esses riscos. 
9 Tratamento do risco de segurança da informação 
9.1 Descrição geral do processo de tratamento do risco 
Entrada: Uma lista de riscos priorizada, de acordo com os critérios de avaliação de riscos, em relação 
aos cenários de incidentes que podem levar a esses riscos. 
Ação: Convém que controles para modificar, reter, evitar ou compartilhar os riscos sejam selecionados e 
o plano de tratamento do risco seja definido. 
Diretrizes para implementação: 
Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do 
risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5). 
NOTA A ABNT NBR ISO/IEC 27001:2006 4.2.1.f) 2) usa o termo “aceitação do risco” em vez de “retenção do 
risco”. 
A Figura 3 ilustra a atividade de tratamento do risco dentro do processo de gestão de riscos de 
segurança da informação como apresentado na Figura 2. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 32/97 
 
 
Figura 3 – A atividade de tratamento do risco 
Convém que as opções do tratamento do risco sejam selecionadas com base no resultado do processo 
de avaliação de riscos, no custo esperado para implementação dessas opções e nos benefícios 
previstos. 
Quando uma grande modificação do risco pode ser obtida com uma despesa relativamente pequena, 
convém que essas opções sejam implementadas. Outras opções para melhorias podem ser muito 
dispendiosas e uma análise precisa ser feita para verificar suas justificativas. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 33/97 
 
Em geral, convém que as consequências adversas do risco sejam reduzidas ao mínimo possível, 
independentemente de quaisquer critérios absolutos. Convém que os gestores considerem os riscos 
improváveis porém graves. Nesse caso, controles que não são justificáveis do ponto de vista 
estritamente econômico podem precisar ser implementados (por exemplo, controles de continuidade de 
negócios concebidos para tratar riscos de alto impacto específicos). 
As quatro opções para o tratamento do risco não são mutuamente exclusivas. Às vezes, a organização 
pode beneficiar-se substancialmente de uma combinação de opções, tais como a redução da 
probabilidade do risco, a redução de suas consequências e o compartilhamento ou retenção dos riscos 
residuais. 
Algumas formas de tratamento do risco podem lidar com mais de um risco de forma efetiva (por 
exemplo, o treinamento e a conscientização em segurança da informação). Convém que um plano de 
tratamento do risco seja definido, identificando claramente a ordem de prioridade em que as formas 
específicas de tratamento do risco convém ser implementadas, assim como os seus prazos de 
execução. Prioridades podem ser estabelecidas usando várias técnicas, incluindo a ordenação dos 
riscos e a análise de custo-benefício. É de responsabilidade dos gestores da organização equilibrar os 
custos da implementação dos controles e o orçamento. 
A identificação de controles existentes pode nos fazer concluir que os mesmos excedem as 
necessidades atuais em função da comparação de custos, incluindo a manutenção. Se a remoção de 
controles redundantes e desnecessários tiver que ser considerada (especialmente se os controles têm 
altos custos de manutenção), convém que a segurança da informação e os fatores de custo sejam 
levados em conta. Devido à influência que os controles exercem uns sobres os outros, a remoção de 
controles redundantes pode reduzir a segurança em vigor como um todo. Além disso, talvez seja menos 
dispendioso deixar controles redundantes ou desnecessários em vigor do que removê-los. 
Convém que as opções de tratamento do risco sejam consideradas levando-se em conta: 
� Como o risco é percebido pelas partes afetadas 
� As formas mais apropriadas de comunicação com as partes 
A definição do contexto (ver 7.2 - Critérios de avaliação de riscos) fornece informações sobre requisitos 
legais e regulatórios com os quais a organização precisa estar em conformidade. Nesse caso, o risco 
para organização é não estar em conformidade e convém que sejam implementadas opções de 
tratamento para limitar essa possibilidade. Convém que todas as restrições - organizacionais, técnicas, 
estruturais etc.- identificadas durante a atividade de definição do contexto, sejam levadas em conta 
durante o tratamento do risco. 
Uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser 
determinados. Isso envolve uma atualização ou uma repetição do processo de avaliação de riscos, 
considerando-se os efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual 
ainda não satisfaça os critérios para a aceitação do risco da organização, uma nova iteração do 
tratamento do risco pode ser necessária antes de se prosseguir à aceitação do risco. Mais informações 
podem ser encontradas na ABNT NBR ISO/IEC 27002:2005, Seção 0.3. 
Saída: O plano de tratamento do risco e os riscos residuais, sujeitos à decisão de aceitação por parte 
dos gestores da organização. 
 
 
ABNT/CB-21 
PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) 
AGOSTO:2011 
 
 
 
NÃO TEM VALOR NORMATIVO 34/97 
 
9.2 Modificação do risco 
Ação: Convém que o nível de risco seja gerenciado